I ricercatori di Rapid7 hanno scoperto un exploit che sfrutta una serie di vulnerabilità di Adobe ColdFusion. Ignoti cybercriminali hanno approfittato dei problemi di sicurezza per aggirare l’autenticazione ed eseguire comandi remoti, tra cui l’installazione di web shell sui server.
Patch disponibile ma incompleta
Come sottolinea Dan Goodin di ArsTechnica, quanto accaduto è una combinazione di fallimenti. Il più grave è quello di Adobe. L’exploit sfrutta la vulnerabilità CVE-2023-38203, insieme alla vulnerabilità CVE-2023-29298. Le patch sono state rilasciate il 14 e 11 luglio, rispettivamente.
Gli esperti di Rapid7 hanno però scoperto che la patch per la vulnerabilità CVE-2023-29298 è incompleta. Adobe ha comunicato che distribuirà presto un fix completo. Dato che l’exploit sfrutta entrambe le vulnerabilità, l’installazione dell’ultima versione di ColdFusion dovrebbe comunque prevenire gli attacchi.
L’azienda Project Discovery aveva pubblicato il 12 luglio i dettagli della vulnerabilità CVE-2023-29300 con il codice dell’exploit. In realtà si trattava della vulnerabilità CVE-2023-38203, quindi la divulgazione è avvenuta prima del rilascio della patch da parte di Adobe. Project Discovery ha quindi rimosso l’articolo, ma i cybercriminali aveva già usato l’exploit.
Come detto, le due vulnerabilità possono essere sfruttate per aggirare il controllo degli accessi e installare web shell, interfacce che consentono di inviare comandi remoti ed eseguire codice sui server ColdFusion. Quando accaduto è un classico esempio di “cat and mouse”, una corsa contro il tempo per anticipare le mosse dei cybercriminali. Se poi l’exploit viene servito (per errore) su un piatto d’argento, le conseguenze sono ancora più gravi.
Aggiornamento (20/07/2023): Adobe ha comunicato che il fix per CVE-2023-29298 è incluso nella patch CVE-2023-38205. Rapid7 ha confermato che la patch è completa.